技術揭秘:安全瀏覽器真的安全嗎?
中國的互聯網公司做事情的浮躁已是眾所周知。在瀏覽器行業,各種加殼瀏覽器在Webkit和Trident上套個馬甲,再加點組件,動輒就冠之以"最快"、"最安全"來裝點自己。你別說,人家還不臉紅。
我一個在Chrome開發團隊的哥們告訴我,Chrome 90%的開發資源只用來做3件事:快、安全、穩定。
這就是差距。
本文要吐槽的是"安全瀏覽器"。說實話,瀏覽器+安全的概念不錯,雖然內核是人家的,自己還是能折騰出點花樣的。但這幾天看到某知名廠商隨時把"最安全"掛在嘴邊,我憤青的內心就被撩動了。
大家也許已經猜到了是哪家廠商,歡迎對號入座。其實,是哪家廠商、哪款瀏覽器真的不重要。重要的是,用戶自己要做到心中有數,別中了人家陰招還在說感謝。
舉例來說,當你網購時,有"經驗"的賣家會"好心"向你推薦某知名安全瀏覽器,主打安全,你還心存感激。所以當他發你一個鏈接,該瀏覽器沒報任何風險,你就放心大膽支付消費了。結果呢?這是一個釣魚陷阱,你的資金早已直接捐給了騙子。安全瀏覽器真的安全嗎?
純粹技術分析太過于抽象,我選擇360安全瀏覽器、獵豹瀏覽器和谷歌Chrome作為分析對象。為什么選這三款呢?360安全瀏覽器和獵豹瀏覽器都出身于國內主流安全廠商,體現了國內最高的安全實力,目前也均賣力主打安全牌;Chrome則是國際上公認最安全的產品之一,包括Firefox也采用了Chrome的一些安全技術。IE呢?就不用提了吧。
瀏覽器安全應該需要什么指標?
有同學可能會說,安全應該是殺毒軟件的工作職責呀。是的,完全正確。殺病毒、攔釣魚確實是殺毒軟件的份內事。但如果只能依靠殺毒軟件,所謂安全的瀏覽器就只能稱之為坑爹貨!既然取名安全或者主打安全牌,就要拿出點干貨來!
那么,安全的瀏覽器需要什么干貨呢?顧名思義,就是你在瀏覽器內進行的任何操作都應該是受到保護和避開風險的。通俗地說,你訪問色情網站,它要保證你不中毒;你網上購物,它要保證你不被盜;你登錄微博,它要保證你的隱私不會泄露……
從技術角度來講,安全的瀏覽器需要攔截別有用心的人一切可能的瀏覽攻擊行為,至少要包括以下幾個部分:
釣魚網址訪問攔截
掛馬網站訪問攔截
下載文件安全檢測
防止鍵盤敲擊遭記錄
木馬程序執行攔截
系統內核保護
網購支付頁面防篡改
……
這些標準是不是過于嚴格?安全無小事。恰恰相反,以上這些是最最基本的,缺任何一項都存在風險。比如,如果沒有木馬攔截,對方發給你一張"寶貝細節圖",你就可能已經中招,支付后才發現沒轉到支付寶上,錢款徹底無影蹤。你要沒中過招,問問身邊的人,就知道網絡有多危險了。
你的安全瀏覽器掛了幾個鉤?
哪款瀏覽器能實現上述功能?我采用了一個工具進行分析,可通過查看它掛了什么"鉤子"(Hook)來判斷它在哪些地方做了安全監控,再通過代碼逆向的方式查看它具體設計了哪些功能?
"鉤子",程序設計中的一個專業名詞。Windows系統中存在一些重要的系統關鍵點,在這些關鍵點上"掛鉤子",如下圖,就可以在Windows原生程序流程的基礎上運行額外的程序,實現特定的功能。如果要做安全防護,同樣可以在一些關鍵處掛上安全監控的鉤子。
圖注:鉤子(Hook)可以在Windows原生程序流程上增加關鍵點,運行額外的程序功能。
一般來說,系統中最關鍵的位置往往是內核,它負責管理系統的進程、內存、設備驅動程序、文件和網絡系統,是一個操作系統的核心。任何程序包括惡意程序從啟動到關閉的整個過程,都離不開內核的管理。因此,幾乎所有安全軟件都會在內核上掛鉤子--內核鉤子。#p#
形象地來說,安全軟件所掛的內核鉤子,就像在機場內登機必經的路口設置安檢處,驗證為安全的人和包裹(程序)就放行,驗證為風險的就攔截并及時處理掉。因為所有登機的人和包裹均是經過安全檢查的,所以保證了飛機的飛行安全和乘客安全。如下圖。
圖注:安全軟件所掛的內核鉤子,就相當于在機場中的必經之處設置安檢一樣。
我使用圈里人愛用的一個Anti-Rootkit(簡稱ARK)工具XueTr.exe查看,Chrome和360瀏覽器都沒有掛內核鉤子,而獵豹瀏覽器則掛了2個內核鉤子,如下圖,掛鉤位置均是其驅動文件KNBDrv.sys。這個文件也可在獵豹瀏覽器的安裝目錄中查看到,\liebao\LBBrowser\Module\security\。
圖注:獵豹瀏覽器在驅動文件KNBDrv.sys中掛了2個內核鉤子,可進行系統安全檢查。
圖注:360安全瀏覽器并沒有掛內核鉤子,無法進行系統安全攔截。
沒掛內核鉤子意味著什么?正如上面所說,系統內核已經失守,無法保證沒有風險。如果有一個程序啟動,你無法驗證這是一個正常程序還是一個木馬病毒程序;如果有一個程序被關閉,你仍然無法得知是正常關閉還是你的安全防御程序被惡意關閉……風險程度可想而知。
從這個角度來說,360安全瀏覽器和Chrome并不具備系統安全防護能力。套用網購欺詐者常用的手段,在你使用這兩款瀏覽器在網上購物時,對方通過即時通訊工具如QQ等發送"寶貝細節圖"文件給你,實為網購木馬病毒文件,雙擊打開后,木馬啟動運行,乃至篡改賬號劫持交易,這兩款瀏覽器因為沒有監控而會一直無動于衷。#p#
代碼逆向查驗本質
有2個內核鉤子的獵豹瀏覽器能否防住?這需要更深入地對它進行研究。我用逆向工程代碼破解工具IDA Pro對它的KNBDrv.sys進行了反匯編,如下圖。
圖注:用IDA Pro逆向獵豹瀏覽器的文件knbdrv.sys,查看它有什么函數,具備什么功能。
逆向代碼之后,可以看到獵豹瀏覽器設置了如下攔截點:創建線程、創建進程、掛起進程、保護虛擬內存、終止進程、寫入虛擬內存等,如下圖紅框中。表示什么意思呢?就是此鉤子可以對系統中上述任何一個動作進行安全驗證。
圖注:獵豹瀏覽器設置了眾多攔截點,系統中出現任何此類動作都可及時獲知。
更直觀地來說,系統中任何進程的啟動或關閉,獵豹瀏覽器憑借這些鉤子函數均要檢查,利用金山固有的云安全平臺,即可判定此程序(進程)是黑是白。正常文件當然OK,如果是木馬病毒在啟動,當然就會進行攔截。
再啰嗦幾句
看了上面的分析其實大家都明白了的,但還是忍不住再多說幾句,下個結論。
憑借360的云安全平臺,360安全瀏覽器實現釣魚攔截、下載文件鑒定不成問題,但這還遠不能保證瀏覽安全和網購安全。對惡意程序的啟動攔截,360瀏覽器還不能獨立進行,需要嚴重依賴360安全衛士或者360殺毒。就這,如果說自己是"安全瀏覽器",還馬馬虎虎過得去,但如果動輒當"最"字輩,就只兩個字形容:坑爹。
Chrome呢?口碑很安全,但沒抓到內核鉤子,我分析是由于Chrome采用了沙盒技術。它只要保證自己的程序不被惡意程序攻破即可,系統防護它可以不予考慮。關于沙盒技術,已有不少介紹,不再詳述。
獵豹瀏覽器還真的讓我有點意外,他們家包裝了個BIPS概念,說實話,我沒興趣。但是獵豹確實把毒霸的K+和云安全都植入到了內核里,要不我們在逆向的時候也看不到內核鉤子了。當然,到底這一套玩意能不能經得起實戰,需要做大量專業測試。我沒測試,就不多說了。單從程序的邏輯分析來看,獵豹瀏覽器具有內核鉤子、逆向出來的函數覆蓋全面,再結合云安全技術,獵豹瀏覽器做到上述防御是完全可行的。
再再啰嗦幾句
1、做安全也好,做瀏覽器安全也好。其實拼的還是實力和積累。買來的引擎用在殺毒上尚可,但要植入到瀏覽器,終究會現原形。
2、國產瀏覽器如果真的做到了安全,喝水別忘挖井人,保持對Chrome、Firefox甚至IE的敬畏和感激是起碼的。動輒吹噓自己"最安全",你讓肯花幾千美金買個漏洞Chrome情何以堪?
3、本文純技術分析,你可以對號入座,但謝絕口水,謝絕腦殘粉絲價值觀灌輸。本人不吃這一套。
